【事件概述】
北京時間2017年5月12日晚��,全球爆發(fā)大規(guī)模勒索軟件感染事件�,一個名為“永恒之藍”的蠕蟲勒索病毒波及近100個國家�,包括英國、美國����、中國、俄羅斯��、西班牙和意大利��,約7.5萬臺計算機被感染����。國內多個高校校內網、大型企業(yè)內網和政府機構專網中招��,危害目前仍在持續(xù)快速擴大�。該病毒會加密電腦和服務器中幾乎所有類型的文件,被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”�����,感染者只有繳納高額贖金(有的要比特幣)才能解密資料和數據��。
圖1勒索軟件界面
【軟件名稱】
WannaCrypt���、WannaCry���、WanaCrypt0r、WCrypt���、WCRY
【利用原理】
其迅速感染全球大量主機的原因是利用了基于445端口傳播擴散的SMB漏洞MS17-101�,微軟在今年3月份發(fā)布了該漏洞的補丁���。2017年4月14日黑客組織Shadow Brokers(影子經紀人)公布的Equation Group(方程式組織)使用的“網絡軍火”中包含了該漏洞的利用程序�����,而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網絡軍火”后進行了這次全球性的大規(guī)模攻擊事件���。
【影響范圍】
圖2全球445端口開放狀況分布
圖3全球勒索病毒感染狀況分布
【軟件分析】
該軟件掃描開放445文件共享端口的Windows機器,無需用戶任何操作�����,只要開機上網����,不法分子就能在電腦和服務器中植入勒索軟件�、遠程控制木馬���、虛擬貨幣挖礦機等惡意程序���。當系統(tǒng)被該勒索軟件入侵后,系統(tǒng)中.doc, .docx, .xls, .xlsx等近180種類型的文件會被加密�����,后綴名被統(tǒng)一修改為“.WNCRY”�����。
此次大面積感染是通過蠕蟲來部署���,蠕蟲病毒是一種常見的計算機病毒����,它利用網絡傳播自身功能的拷貝或自身的某些部分到其他的計算機系統(tǒng)中�����,因此一切與被感染主機有網絡連接的設備都將被感染�����。因此��,此次蠕蟲危害��,受影響的是主要是具有內網環(huán)境的企業(yè)����、校園及公共事業(yè)等組織機構。受感染的內網中的重要文件和數據已經被加密�����,已經嚴重影響了企業(yè)����、校園及公共事業(yè)等組織機構的正常業(yè)務執(zhí)行,并已產生巨大的數據泄露和信息損害�。
早在今年4月19日,方程式組織工具包被再次被公開�����,其中包含了多個Windows漏洞利用工具,影響多個Windows操作系統(tǒng)���。漏洞針對Windows服務器的25����、88�、139、445����、3389等端口漏洞遠程執(zhí)行命令,其中影響尤為嚴重的是445和3389端口���。相應Windows漏洞及補丁信息如圖所示:
由于部分組織機構未意識到漏洞的巨大危害����,未能采取有效地防護措施��,被黑客利用漏洞進行攻擊���,并且在其內網批量感染勒索病毒�����。
勒索病毒被漏洞遠程執(zhí)行后����,會從資源文件夾下釋放一個壓縮包���,此壓縮包會在內存中通過密碼:WNcry@2ol7解密并釋放文件�,并隱藏自身�����。病毒加密詳情:
(1)使用AES-128-CBC模型對數據進行加密(加密代碼是自實現)
(2)AES密鑰是由CSPRNG產生的
(3)AES密鑰由RSA-2048密鑰進行加密(實現為Windows RSA代碼)
目前無法對加密后的文件進行解密�。
【漏洞檢測】
微軟提供免費查掃工具:http://www.microsoft.com/security/scanner/,下載雙擊運行即可����。
360“NSA武器庫免疫工具”:http://dl.360safe.com/nsa/nsatool.exe,檢測系統(tǒng)是否存在漏洞����,并關閉受到漏洞影響的端口。
【修復方案】
臨時修復:關閉445端口���,關閉網絡共享(具體操作見文末)
建議修復:微軟已發(fā)布補丁MS17-010修復了“永恒之藍”攻擊的系統(tǒng)漏洞���,打開系統(tǒng)自動更新���,檢測更新并安裝,重啟電腦�。為計算機安裝最新的安全補丁,或者手動下載安裝
https://technet.microsoft.com/zh-cn/library/security/MS17-010�����;對于Windows XP�����、2003等機器��,除盡快升級到window 7/Windows外��,也可下載微軟總部剛發(fā)布的XP和部分服務器版WindowsServer2003特別安全補丁
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/����。
其他方式:360企業(yè)安全天擎團隊開發(fā)的系統(tǒng)免疫工具,程序在電腦上運行以后�,現有蠕蟲將不會感染系統(tǒng)。下載地址:https://eyun.#/surl_yZ3RsYgQuvu(提取碼:e2ab)
附具體操作方法:
一����、啟用Windows防火墻并關閉445端口
方法一:下載一鍵禁用445端口腳本
點擊www.secboot.com/445.zip��,下載解壓
右鍵點擊“管理員身份運行”即可
方法二:
(1)打開控制面板�����,點擊系統(tǒng)和安全
(2)打開Windows防火墻
(3)點擊“打開或關閉Windows防火墻”
(4)啟用Windows防火墻,點擊“確定”
(5)點擊“高級設置”
(6)點擊右側的“新建規(guī)則”
(7)創(chuàng)建“端口”規(guī)則���,點擊“下一步”
(8)在特定本地端口輸入“445”��,點擊“下一步”
(9)選擇“阻止連接”��,點擊“下一步”
(10)全選�����,點擊“下一步”
(11)任意輸入名稱�����,點擊“完成”�,即可關閉445端口��。
二、關閉網絡文件共享
(1)打開“控制面板”��,點擊“網絡和Internet”
(2)點擊“網絡和共享中心”
(3)點擊“更改高級共享設置”
(4)選擇“關閉文件和打印機共享”����,點擊“保存修改”
永利yl23411官網
永利yl23411官網信息安全研究所
2017年5月12日
當前位置: